Z kwartału na kwartał wraz z kolejnymi publikacjami o udanych atakach typu ransomware, rośnie znacznie systemów backupu. Zagrożenie ciągłości działania firm i instytucji publicznych nakręca koniunkturę na inwestycje w cyberbezpieczeństwo i odtwarzanie awaryjne. Kopia zapasowa w tym wszystkim jest ostatnim bastionem, do którego sięgamy, gdy mimo zabezpieczeń, atak się jednak powiedzie. Praktyka pokazuje bowiem, że łatwiej jest odtworzyć się z backupu, niż skutecznie zabezpieczyć środowisko IT przed cyberatakiem. Pozostaje zatem pytanie, jak bardzo możemy ufać naszemu systemowi backupu i naszym kopiom zapasowym, czyli jaką mamy pewność, że będziemy mieli się z czego odtwarzać? Backup to przecież pliki i jak wszystkie inne, mogą zostać usunięte, nadpisane lub zaszyfrowane.
Najważniejsze wnioski
- Erozja zabezpieczeń IT liczy się w godzinach, a większość ataków ransomware celuje w kopie zapasowe, zatem backup jest jednocześnie ostatnią deską ratunku jak i priorytetowym celem ataku.
- Nienaruszalność backupu to nie pojedyncza funkcja, lecz strategia łącząca odpowiednie praktyki, technologię i usługi, dobrane pod kątem trzech scenariuszy: zniszczenia danych, utraty nośnika i czynnika ludzkiego.
- Najszybszy pierwszy krok do bezpieczeństwa danych to backup poza siedzibą, bo nawet prosty serwer w oddziale firmy dedykowany pod backup lub najem repozytorium zdalnego - radykalnie podnosi odporność na większość znanych zagrożeń.
Definicja
NIENARUSZALNOŚĆ backupu to zdolność systemu kopii zapasowych do zagwarantowania, że utworzone kopie pozostaną integralne (niezmienione), nieusuwalne i dostępne do odtworzenia przez cały wymagany okres retencji - niezależnie od awarii sprzętowych, błędów ludzkich czy celowych ataków.
Błyskawiczna erozja zabezpieczeń
Gdy celem jest zysk, nawet najbardziej wyrafinowane zabezpieczenia zostaną złamane lub ominięte. Cyberbezpieczeństwo to nieustanny wyścig zbrojeń. Erozja systemów zabezpieczeń już o dawna nie jest kwestią miesięcy, lecz godzin. Jedna podatność typu zero-day może otworzyć drogę przestępcom do najlepiej chronionych systemów. Poza tym jest ransomware, który wzmocniony przez model biznesowy „as a Service" czyni spustoszenie na firmowych repozytoriach danych, a pomaga mu phishing i niefrasobliwość pracowników.
Dlatego też, na znaczeniu zyskują rozwiązania ostatniej szansy, które mogą ocalić organizacje przed potężnymi stratami, wskutek braku zdolności do kontunuowania działalności operacyjnej. Wygląda na to, że polityka backupu oraz system kopii zapasowych jest ostatnią deską ratunku, gdy firmowe dane przestaną być spójne lub staną się niemożliwe do odczytania.
Atak na backup zwiększa szanse na okup
W pogoni za zyskiem cyberprzestępcy doskonalą taktyki ataku. A jak najskuteczniej pozbawić ofiarę złudzeń, a tym samym przyspieszyć wypłatę okupu? Należy zniszczyć kopie zapasowe, co jest stosunkowo łatwe, gdy nie są one dodatkowo chronione. Okazuje się, że większość obecnych ataków ransomware wymierzona jest w repozytoria backupu. Różne badania pokazują, że blisko 70% ataków niszczących kopie zapasowe jest skuteczna. Jeżeli dodać do tego, że w większości przypadków, przejęcie poświadczeń administracyjnych do systemu backupu otwiera drzwi do wszystkich systemów IT organizacji, sytuacja nie wygląda zbyt optymistycznie.
Czy wobec tego, istnieje skuteczne metoda ochrony danych? Jak zwykle diabeł tkwi w szczegółach. Właściwa architektura systemu kopii zapasowych – „secure by design", uwzględniająca najlepsze praktyki w zakresie bezpieczeństwa oraz przemyślana polityka backupu, daje bardzo duże szanse, że nasze kopie zapasowe będą niezmienialne (immutable) i w razie potrzeby będzie można z nich odtworzyć dane.
Jak rozumieć NIENARUSZALNOŚĆ backupu?
W skrócie, chodzi o to, by utworzona kopia zapasowa była integralna, niezmienialna i nieusuwalna. Sceptycy pewnie zastanawiają się teraz, czy to w ogóle możliwe. Przecież kopie zapasowe trzeba zabezpieczyć przed kilkoma scenariuszami, w tym:
- Zniszczeniem, czyli nadpisaniem, usunięciem, zaszyfrowaniem, ale również modyfikacją, która może być najtrudniejsza do wykrycia, a oznacza utratę integralności danych.
- Fizycznym lub logicznym uszkodzeniem pamięci masowej (nośnika), na której kopie zapasowe są przechowywane, wskutek awarii sprzętowej, albo na przykład po nieudanej rozbudowie macierzy, gdy „rozsypie się" RAID, czy też po zakończonej błędem aktualizacji firmware.
- Nieumyślnym, ale również umyślnym usunięciem backupu przez osobę z odpowiednimi uprawnieniami, czyli błędem ludzkim, „zemstą administratora" lub atakiem cyberprzestępcy po przejęciu odpowiednich poświadczeń.
Nienaruszalność to nie pojedyncza funkcja, którą włączasz w konsoli. To wypadkowa dobrych praktyk, odpowiedniej technologii i usług, a ich dobór zależy od tego, przed czym się bronisz. Przyjrzyjmy się każdemu scenariuszowi z osobna.
Ochrona przed zniszczeniem i modyfikacją backupu
Celem priorytetowym ataku ransomware nie są dane produkcyjne, a właśnie kopie zapasowe, gdyż wyeliminowanie backupu zwiększa szanse na okup.
Bardzo niebezpieczna jest też cicha modyfikacja łańcucha backupu, trudna do wykrycia, która podważa integralność kopii zapasowej. Poza tym, często cykliczne kopie zapasowe są już zainfekowane malware, co po odtworzeniu oznacza, że złośliwe oprogramowanie rozprzestrzeni się ponownie. Co gorsza, złośliwe oprogramowanie potrafi pozostawać w uśpieniu tygodniami, co oznacza, że nawet starsze kopie zapasowe mogą być skażone, a znalezienie „zdrowego" punktu przywracania staje się poważnym wyzwaniem.
W jaki sposób można mitygować takie zagrożenia? Jest na to kilka sposobów, które działają najskuteczniej, gdy zastosuje się je łącznie.
Nienaruszalne repozytoria (Immutable Repositories)
Idea jest prosta, pamięć masowa wspierana systemem operacyjnym i/lub aplikacją ma honorować politykę retencji, a więc blokować na określony czas możliwość usuwania czy nadpisywania kopii zapasowych. Taki backup, czyli pliki przechowywane są niejako w trybie WORM (Write Once Read Many) i nikt, włącznie z administratorem, nie może zmodyfikować ani usunąć kopii zapasowych przed upływem okresu ochrony. Przykładowe rozwiązania:
- Linux Hardened Repository. Mechanizm immutability flag (chattr +i) na poziomie systemu plików XFS.
- Object Storage, czyli masowa pamięć obiektowa. Mechanizm ochrony to Object Lock (S3-compatible).
- Veeam Cloud Connect (chmura) | Mechanizm Insider Protection usługi partnerów Veeam (program VCSP).
Ważne! Upewnij się, że Twój usługodawca włączył „Insider Protection" na Twoim koncie, a także ustal jak długiej ochrony oczekujesz. Zwykle usunięte kopie chronione są dodatkowo 7-14 dni. Może też okazać się, że operator zechce pobierać dodatkową opłatę, gdyż jest to realna zajętość pamięci masowej (kopie po usunięciu zwalniają dostępną przestrzeń pamięci repozytorium na koncie klienta, ale nadal zajmują storage dostawcy).
- Veeam Data Cloud Vault (chmura) | Ochrona poprzez Object Lock.
- Object Storage (AWS S3, Azure Blob, itp.). Ochrona przed usunięciem także poprzez Object Lock.
- Storage Appliance Lock (Dell DataDomain, HPE StoreOnce, NetApp SnapLock, itp.). Rozwiązania storage klasy korporacyjnej z immutability na poziomie sprzętu/firmware.
Ważne! W przypadku zastosowania chmurowych pamięci obiektowych, ustawienie zbyt długich okresów retencji dla backup jobs może skończyć się bolesnym rachunkiem za storage. Takich backupów nie da się usunąć przed czasem określonym w schemacie GFS! Wtedy możesz stanąć przed wyborem usuwasz konto, a wraz z nim kopie zapasowe, lub płacisz wysoki rachunek.
>>> Chcesz poznać przykładowe koszty immutable storage --> zerknij tutaj.
Szyfrowanie kopii zapasowych
Szyfrując kopie zapasowe chronimy ich poufność i integralność. W niektórych przypadkach, także częściowo chronimy przed ransomware. Okazuje się, że starsze cryptolockery omijają dane, które zostały już zaszyfrowane (np. CryptoWall, Petya/NotPetya, WannaCry, TeslaCrypt). To pokłosie automatyzacji ataków i początkowej dużej niedbałości w tworzeniu złośliwego kodu. Niestety, nowoczesny ransomware aktywnie atakuje repozytoria backupów i szyfruje wszystko.
Większość systemów backupu wspiera szyfrowanie w spoczynku (AES-256) i w transmisji (TLS/SSL). Włączenie szyfrowania powinno być obligatoryjne, a klucze szyfrujące należy przechowywać i zarządzać nimi z taką samą starannością jak poświadczeniami do kluczowych systemów organizacji, najlepiej z wykorzystaniem dedykowanego rozwiązania KMS.
Weryfikacja integralności backupu
Zautomatyzowanie procesu testowania backupu zwiększa pewność, że po incydencie bezpieczeństwa będzie można odtwarzać dane i systemy z kopii zapasowych. Poza tym, podczas odtwarzania testowego można wywoływać różne skrypty i dodatkowo skanować kopie zapasowe silnikiem antywirusowym celem identyfikacji „zdrowych" punktów przywracania.
Do wykrywania malware użyć należy silnika skanującego opartego na sygnaturach. Przykładowo, zintegrowany z systemem Veeam Backup & Replication skaner Veeam Threat Hunter łączy sygnatury AV, YARA i analizę entropii. Dzięki temu, możemy identyfikować wskaźniki IoC (Indicators of Compromise) oraz wykrywać zaszyfrowane lub skompresowane bloki danych charakterystyczne dla aktywności ransomware.
Ochrona przed utratą nośnika
Nawet nienaruszalny backup nie pomoże, jeśli nośnik, na którym przechowywane są dane ulegnie fizycznemu zniszczeniu. A nazwanych ryzyk jest sporo. Zacznę od zdarzeń o charakterze siły wyższej. W tej klasyfikacji wystarczy wspomnieć o pożarach, zalaniu, uderzeniu pioruna, czy nawet o akcie wandalizmu. Nawet w profesjonalnym centrum danych może zdarzyć się coś co zagrozi naszym danym. Weźmy uszkodzenie dysków rotujących spowodowane falą dźwiękową aktywowanego systemu gaszenia gazem (realne zdarzenie w centrum danych u naszego krajowego operatora). Taki system, pozbawiony tłumików, działa jak wystrzał z działa o sporym kalibrze. Dla działających dysków z rotującymi talerzami i głowicą oznacza to trwałe i nieodwracalne uszkodzenie.
Kopia poza siedzibą (Off-site Backup)
Nadmiarowość jest jedną z metod ochrony danych w sytuacji utraty nośnika. W jej implementacji pomaga stworzona przez Petera Krogha reguła 3-2-1 – jedna z najbardziej znanych dobrych praktyk w zakresie ochrony danych. Reguła mówi, że nasze dane powinny być w trzech wystąpieniach, na dwóch różnych nośnikach, a jedna kopia powinna być przechowywana poza siedzibą.
Off-site backup to zwykle bariera nie do przejścia dla ransomware, czy nawet aktywnego ataku wrogiego aktora. Implementacja polega na dodanie „backup copy job" do każdego zadania backupu i zależnie od polityki stałe kopiowanie backupu do drugiej lokalizacji, którą może być VDC Vault lub Veeam Cloud Connect.
Separacja fizyczna lub odcięcie od Internet
Segmentacja logiczna środowisk serwerowych z użyciem stref dedykowanych dla określonych zasobów z uwzględnieniem ograniczeń komunikacji między strefami. Przykładowo, repozytorium dla kopii zapasowych powinno znajdować się w strefie, do której nie mają dostępu żadni użytkownicy sieci lokalnej. Strefa ta powinna być także odcięta od sieci Internet (Air-gap).
Niezwykle skuteczną ochroną jest przechowywanie backupu na nośniku off-line, np. na taśmach magnetycznych biblioteki taśmowej, która z definicji separuje galwanicznie kopie zapasowe od sieci Internet.
Monitoring i wczesne ostrzeganie
Stałe monitorowanie środowisk produkcyjnych i backupu wraz z analizą anomalii zwykle ostrzega dużo wcześniej o nadchodzącej katastrofie. Nawet prosty alarm o kończącym się miejscu na repozytorium czyni życie administratora znośniejszym. Poza tym, alarmowanie o nagłych wzrostach zajętości pamięci masowej czy o wzroście obciążenia procesami I/O w weekedny, może być sygnałem, że mamy do czynienia z cryptolockerem. Jeżeli jeszcze połączymy system monitoringu z systemem SIEM, zyskujemy bardzo skutecznego strażnika.
Ochrona przed czynnikiem ludzkim
Kategoria zagrożeń wewnętrznych (Insider threat) to nie tylko tzw. „zemsta administratora", to także zmęczony informatyk, który przypadkiem nadpisze konfigurację, albo pracownik, który kliknie w phishing, czy też cyberprzestępca, który właśnie przejął czyjeś poświadczenia i z punktu widzenia systemu jest uprawnionym administratorem.
Zabezpieczanie danych i backupu w przed czynnikami tej kategorii wymaga implementacji dobrych praktyk, które zaczerpnąć można na przykład z NIST CSF 2.0, CIS Controls v8 lub DORA/NIS2. Implementacja nawet kilku z nich ochroni Twój system backupu przed większością znanych zagrożeń.
Separacja ról i minimalnych uprawnień
Zaczynamy od prawidłowego zaprojektowania uprawnień dostępu logicznego i fizycznego do systemów oraz kont typu maszyna-maszyna. Zastosowanie zasady minimalnych przywilejów (Principle of Least Privilege) to podstawa. Dobrze byłoby przy tym, aby system backupu wspierał Role-Based Access Control (RBAC), co nie jest wcale takie powszechne jak mogłoby się zdawać.
Dodatkowo, krytyczne operacje, jak na przykład usunięcie kopii zapasowych powinny być autoryzowane przez minimum dwie osoby (Four-Eyes Authorization) - administratora i oficera bezpieczeństwa lub dwóch administratorów.
Wykrywanie zagrożeń na wczesnym etapie
Jedną z metod jest przewidywanie ataków na podstawie TTPs (Tactics, Techniques, Procedures). Może to zrobić Recon Scanner od Coveware (Veeam). Chodzi o to by mieć wiedzę, że na serwerach pojawiły się narzędzia podwójnego zastosowania (dual-use tools), a także, że wykryto użycie komend wskazujących na rozpoznawanie środowiska (enumeration). Skaner wykrywa i raportuje obecność narzędzi oraz użycia komend PowerShell/bash specyficznych dla ataku.
Szkolenie pracowników
Niby oczywiste, ale jak się okazuje najczęściej zaniedbywane. A przecież najpopularniejszym wektorem ataku na dane jest phishing. Specjalnie spreparowane wiadomości praktycznie nie do odróżnienia od oryginałów (LLMy robią robotę), są przyczyną większości infekcji ransomware. Przygotowanie zespołów poprzez szkolenia i ćwiczenia zwiększa czułość na zagrożenie, a więc zmniejsza szanse powodzenia typowych ataków tym kanałem.
Od czego zacząć?
Nienaruszalność to nie produkt to strategia łącząca dobre praktyki, technologie i usługi. Trzeba się za to zabrać metodycznie, gdyż każdy obszar wymaga innej odpowiedzi, a razem tworzą warstwowy system ochrony (defense in depth).
Gdybym miał wskazać tylko jedną rzecz w tym arsenale, wybrałbym backup poza siedzibą. Od razu podkreślę, że nie jest to równoznaczne z kopiowaniem backupów do chmury, choć to najszybsza opcja. Żeby składować backup poza ośrodkiem podstawowym, wystarczy serwer wypchany dyskami (zależnie od zapotrzebowania na storage) i jakieś bezpieczne miejsce w oddziale firmy, a w ostateczności kolokacja 1RU w centrum danych. Najtaniej będzie użyć gotowe ISO z Veeam Hardened Repository, choć całkiem ciekawą i dostępną cenową opcją są też rozwiązania Object Storage, które można zainstalować na własnym sprzęcie lub wynająć całe rozwiązanie.
Potem warto zabrać się za przegląd posiadanego systemu backupu i być może rozważyć upgrade lub przesiadkę na nowoczesną platformę. Chodzi o to, by system spełniał bieżące wymagania dotyczące aktywnej ochrony i testowania backupu, wykrywania złośliwego kodu oraz monitorowania anomalii. Nadto, by miał wsparcie dla większości istniejących platform wirtualizacji, bo to niezwykle ułatwia realizację scenariuszy Disaster Recovery. Dobrze byłoby także, by system backupu nadążał za nowymi zagrożeniami, które niosą ze sobą coraz powszechniej dostępne LLMy.
Gdy po tym, nadal pozostanie w Was apetyt na więcej, zapraszam do zapoznania się z naszą metodyką Czterech Pierścieni Cyberodporności i uzbrojenie się na tyle, by spełniać wszystkie zalecenia NIS2, RODO, KPO, UKSC, czy co tam jeszcze się pojawi w przyszłości.
Chcesz wzmocnić cyberodporność?
Skorzystaj z darmowej konsultacji w obszarze cyberodporności
Kwadrans z ekspertem